Alert!

SAP-Patchday: NetWeaver AS & Environmental Compliance bargen kritische Lücken

Zum monatlichen Patchday hat SAP Updates für viele Produkte veröffentlicht. Zwei beseitigten Sicherheitsproblemen wurden CVSS-Scores nahe der 10 zugeordnet.

In Pocket speichern vorlesen Druckansicht

(Bild: heise online / Shutterstock (Collage))

Lesezeit: 1 Min.

SAP Environmental Compliance ist anfällig für Angriffe auf externe XML-Entitäten mittels speziell präpariertem XML-Input ("XML external entity injection"). Auch SAP NetWeaver AS ABAP und die ABAP Platform weisen eine gefährliche Schwachstelle auf: Angreifer könnten Schadcode ins System schleusen. Diese und weitere Informationen zu Schwachstellen in verschiedenen Produkten hat SAP zum Patchday im Oktober zusammengetragen. Admins sollten die verfügbaren Updates möglichst zeitnah einspielen.

Die Schwachstellen in Environmental Compliance und NetWeaver gelten als kritisch: Ihnen wurden die CVSS-Scores 9.8 beziehungsweise 9.1 von möglichen 10 zugewiesen. Eine weitere Schwachstelle hat SAP mit "High" (7.8) bewertet, Sie steckt in der mobilen "SAP SuccessFactors"-Anwendung für Android und könnte missbraucht werden, um Denial-of-Service-Angriffe durchzuführen.

Eine vollständige Übersicht über die zuvor genannten sowie mehrere weitere Sicherheitsprobleme mit "Medium"-Einstufung nebst Angaben verwundbarer Versionen liefert SAPs Patchday-Advisory für Oktober 2021. Wie gewohnt verlinkt es so genannte "Security Notes", die im passwortgeschützten Kundenbereich einsehbar sind und weiterführende Informationen zu verfügbaren Updates bieten. Ebenfalls einen Blick wert sind die im Advisory genannten Aktualisierungen früherer Security Notes.

(ovw)